Suggerimenti Amministrazione controllo app & problemi noti
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
Questo articolo illustra suggerimenti e consigli per gli amministratori e i problemi noti relativi al controllo delle app per le aziende. Testare questa configurazione nel lab prima di abilitarla nell'ambiente di produzione.
Percorsi dei file dei criteri di Controllo app
Nei percorsi seguenti sono disponibili più criteri di controllo delle app, a seconda che il criterio sia firmato o meno e del metodo di distribuzione dei criteri usato.
- <Volume> del sistema operativo\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip
- <Partizione> di sistema EFI\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
Il valore {PolicyId GUID} è univoco per criterio e definito nel codice XML del criterio con l'elemento <PolicyId> .
Per un singolo formato di criteri, oltre ai due percorsi precedenti, cercare anche un file denominato SiPolicy.p7b nei percorsi seguenti:
- <Partizione> di sistema EFI\Microsoft\Boot\SiPolicy.p7b
- <Volume> del sistema operativo\Windows\System32\CodeIntegrity\SiPolicy.p7b
Nota
In uno qualsiasi dei percorsi dei file di criteri può essere presente un criterio di controllo app con il singolo formato di criteri GUID {A244370E-44C9-4C06-B551-F6016E563076}
.
Ordine di precedenza delle regole di file
Quando il motore di Controllo app valuta i file rispetto al set attivo di criteri nel dispositivo, le regole vengono applicate nell'ordine seguente. Dopo che un file rileva una corrispondenza, Controllo app interrompe l'ulteriore elaborazione.
Regole di negazione esplicite: un file viene bloccato se esiste una regola di negazione esplicita, anche se vengono create altre regole per tentare di consentirla. Le regole di negazione possono usare qualsiasi livello di regola. Usare il livello di regola più specifico pratico durante la creazione di regole di negazione per evitare di bloccare più di quanto si intende.
Regole di autorizzazione esplicite: se esiste una regola di autorizzazione esplicita per il file, il file viene eseguito.
Controllo app verifica quindi la presenza dell'attributo extended (EA) del programma di installazione gestita o dell'account EA Intelligent Security Graph (ISG) nel file. Se esiste EA e il criterio abilita l'opzione corrispondente, il file è consentito.
Infine, Controllo app effettua una chiamata cloud all'ISG per ottenere reputazione sul file, se il criterio abilita l'opzione ISG.
Qualsiasi file non consentito da una regola esplicita o basato su ISG o MI viene bloccato in modo implicito.
Problemi noti
L'errore di arresto dell'avvio (schermata blu) si verifica se sono attivi più di 32 criteri
Fino a quando non si applica l'aggiornamento della sicurezza di Windows rilasciato il 9 aprile 2024 o dopo tale data, il dispositivo è limitato a 32 criteri attivi. Se viene superato il numero massimo di criteri, gli schermi blu del dispositivo fanno riferimento ci.dll con un valore di controllo dei bug pari a 0x0000003b. Considerare questo limite massimo di conteggio dei criteri durante la pianificazione dei criteri di Controllo app. Anche tutti i criteri di Posta in arrivo di Windows attivi nel dispositivo vengono conteggiati per questo limite. Per rimuovere il limite massimo di criteri, installare l'aggiornamento della sicurezza di Windows rilasciato il 9 aprile 2024 o dopo il 9 aprile 2024 e quindi riavviare il dispositivo. In caso contrario, ridurre il numero di criteri nel dispositivo per rimanere al di sotto di 32 criteri.
Nota
Il limite dei criteri non è stato rimosso in Windows 11 21H2 e rimarrà limitato a 32 criteri.
I criteri della modalità di controllo possono modificare il comportamento per alcune app o causare arresti anomali delle app
Anche se la modalità di controllo controllo app è progettata per evitare effetti sulle app, alcune funzionalità sono sempre attivate o sempre applicate con qualsiasi criterio di controllo delle app che attiva l'integrità del codice in modalità utente (UMCI) con l'opzione 0 Abilitato:UMCI. Ecco un elenco di modifiche note del sistema in modalità di controllo:
- Alcuni host di script potrebbero bloccare il codice o eseguire codice con meno privilegi anche in modalità di controllo. Per informazioni sui comportamenti dei singoli host di script, vedere Applicazione di script con controllo app.
- Opzione 19 Enabled:Dynamic Code Security viene sempre applicata se un criterio UMCI include tale opzione. Vedere Controllo app e .NET.
Le immagini native .NET possono generare eventi di blocco falsi positivi
In alcuni casi, i log di integrità del codice in cui vengono scritti gli errori e gli avvisi di Controllo app per le aziende includono gli eventi di errore per le immagini native generate per gli assembly .NET. In genere, i blocchi di immagini nativi sono funzionalmente benigni perché un'immagine nativa bloccata rientra nell'assembly corrispondente e .NET rigenera l'immagine nativa nella finestra di manutenzione pianificata successiva.
Le firme che usano la crittografia a curva ellittica (ECC) non sono supportate
Le regole basate sul firmatario di Controllo app funzionano solo con la crittografia RSA. Gli algoritmi ECC, ad esempio ECDSA, non sono supportati. Se Controllo app blocca un file in base alle firme ECC, gli eventi di informazioni sulla firma 3089 corrispondenti mostrano VerificationError = 23. È possibile autorizzare i file tramite regole hash o attributi di file o usando altre regole del firmatario se il file è firmato anche con firme tramite RSA.
I programmi di installazione dell'identità del servizio gestito vengono considerati come scrivibili dall'utente in Windows 10 quando sono consentiti dalla regola FilePath
I file del programma di installazione msi vengono sempre rilevati come scrivibili dall'utente in Windows 10 e in Windows Server 2022 e versioni precedenti. Se è necessario consentire i file MSI usando regole FilePath, è necessario impostare l'opzione 18 Disabled:Runtime FilePath Rule Protection nei criteri di Controllo app.
Le installazioni msi avviate direttamente da Internet sono bloccate da Controllo app
L'installazione di file .msi direttamente da Internet in un computer protetto da Controllo app non riesce. Ad esempio, questo comando ha esito negativo:
msiexec -i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi
Come soluzione alternativa, scaricare il file MSI ed eseguirlo in locale:
msiexec -i c:\temp\Windows10_Version_1511_ADMX.msi
Avvio lento e prestazioni con criteri personalizzati
Controllo app valuta tutti i processi in esecuzione, inclusi i processi di Windows nella posta in arrivo. È possibile causare tempi di avvio più lenti, prestazioni ridotte ed eventualmente problemi di avvio se i criteri non si basano sui modelli di Controllo app o non considerano attendibili i firmatari di Windows. Per questi motivi, è consigliabile usare i modelli di base di Controllo app quando possibile per creare i criteri.
Considerazioni relative ai criteri di assegnazione di tag appId
I criteri di assegnazione di tag AppId che non si basano sui modelli di base di Controllo app o che non consentono i firmatari predefiniti di Windows potrebbero causare un aumento significativo dei tempi di avvio (circa 2 minuti).
Se non è possibile consentire l'elenco dei firmatari di Windows o compilare i modelli di base di Controllo app, aggiungere la regola seguente ai criteri per migliorare le prestazioni:
Poiché i criteri di assegnazione di tag AppId valutano ma non possono contrassegnare i file DLL, questa regola esegue il corto circuito della valutazione della DLL e migliora le prestazioni di valutazione.